Приложение С (справочное). Руководство по получению консультаций и сертификации. Национальный стандарт РФ ГОСТ Р ИСО 28001-2019 "Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1433-ст)

Приложение С
(справочное)

Руководство
по получению консультаций и сертификации

С.1 Общие положения

Организации, намеревающиеся внедрить ИСО 28001, не обязаны получать услуги внешнего (стороннего) консультанта. Если организация решает, что ей нужна консультация или помощь в проведении оценки уровня безопасности, разработке планов обеспечения безопасности и выполнении необходимых требований, она может прибегнуть к услугам внешнего консалтинга. Однако организация, заинтересованная в консультации, сама несет ответственность за проверку и подтверждение компетенции консультантов, предлагающих консалтинговые услуги, например путем поиска положительных отзывов, ссылок или путем анализа выполненной работы. Консультанты, которые предоставляют услуги этой организации, не могут участвовать в аудитах этой организации, проводимых третьей стороной.

С.2 Демонстрация соответствия стандарту ИСО 28001 при аудите

ИСО 28001 является подробным изложением требований, предназначенных для того, чтобы помочь организациям, которые решают добровольно внедрить требования, создать и продемонстрировать соответствующий уровень безопасности в рамках той части (частей) международной цепи поставки(ок), которые находятся под их контролем. Поэтому он служит основой для определения, подтверждения или демонстрации уровня безопасности, существующей в рамках цепи поставки(ок) организаций посредством процесса проверки (аудита) первой, второй или третьей стороной, или любым правительственным учреждением, которое решает использовать соответствие настоящему стандарту в качестве основы для включения в свои программы цепи безопасности поставок.

Типы аудита:

- Аудит первой стороны представляет собой определение соответствия самой организацией.

- Аудит второй стороны представляет собой определение или проверку соответствия организации критериям, согласованным с другой организацией, учреждением или органом, который заинтересован в участии организации в цепи поставок.

- Аудит третьей стороны представляет собой определение или проверку соответствия согласованным критериям организацией независимой от всех сторон.

Валидация и сертификация правительством или государственным органом.

Государственные органы, заинтересованные в соответствии требованиям настоящего стандарта и использовании его в качестве основы в своих программах цепи безопасности, возможно пожелают сами сертифицировать и подтвердить свое соответствие или, чтобы избежать дублирования, могут рассчитывать на проведение аудитов другими сторонами. ВТО устанавливает руководящие принципы для таможенных администраций в отношении требований к валидации и сертификации для национальных таможенных программ безопасности цепи согласно рамочным стандартам безопасности ВТО, а также для взаимного признания таких программ.

С.3 Сертификация по ГОСТ Р ИСО 28001 органами по сертификации третьей стороны

Если соответствие устанавливается аудитом третьей стороны, то организации, желающей пройти сертификацию, следует рассмотреть вопрос о выборе органа по сертификации третьей стороны, аккредитованного компетентным органом по аккредитации, как, например, таким, который является членом Международного форума по аккредитации (МАФ (IAF)), и подчиняются Многосторонним соглашениям о признании МФА (Multilateral Recognition Arrangement (MLA)). Такие аккредитационные органы соответствуют международно признанным правилам, кодексам практики и протоколам аудитов, таким как ИСО 17021 и ИСО 19011.